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Datensicherheit und Datenschutz im Anti-Doping-Kampf 


Vorbemerkung der Fragesteller 

Auch in einem effektiven Anti-Doping-Kampf müssen die Freiheits- und Per¬ 
sönlichkeitsrechte der Athletinnen und Athleten gewahrt werden. 

Zur Bekämpfung von Doping auf nationaler und internationaler Ebene unter¬ 
halten die Welt-Anti-Doping-Agentur (WADA) und die Nationale Anti Doping 
Agentur Deutschland (NADA) umfangreiche Datenbanken, in denen Athletin¬ 
nen und Athleten aus Deutschland etwa drei Monate im Voraus ihre Termine 
und Aufenthaltsorte, die sogenannten Whereabouts, melden müssen, sofern sie 
dem Registered Testing Pool (RTP) und dem Nationalen Testpool (NTP) ange¬ 
hören. Kurzfristige Änderungen des Aufenthaltsorts sind ebenfalls mitzuteilen. 
RTP-Athletinnen und RTP-Athleten müssen jeden Tag zu einer bestimmten Zeit 
an einem bestimmten Ort für eine Dopingkontrolle angetroffen werden können. 

Neben den Whereabouts werden auch Krankheits- und Behandlungsdaten, Er¬ 
gebnisse von Urin- und Blutproben bei Trainings- und Wettkampfkontrollen zu 
einem biologischen Profil des Sportlers zusammengeführt und gespeichert. Die¬ 
ses Profil und die Whereabouts werden in der intemetbasierten Datenbank 
ADAMS („Anti-Doping Administration and Management System“) gespei¬ 
chert, die von der WADA in Kanada betrieben wird. 

Diese Daten erlauben weitreichende Rückschlüsse auf die Gesundheit, die Per¬ 
sönlichkeit und die Bewegungsprofile aller gespeicherten Athletinnen und Ath¬ 
leten, die nicht in unmittelbarem Zusammenhang zum Sport stehen müssen. 

Die Flackergruppe Fancy Bear/APT28, die als mutmaßlicher Urheber der An¬ 
griffe auf den Deutschen Bundestag 2015 und die Bundesregierung 2017/2018 
gilt, hat sich 2016 auch Zugang zur Datenbank ADAMS und Zugriff auf Aus¬ 
nahmeregeln zur Anwendung von Mitteln der Dopingliste (Therapeutic Use 
Exemptions - TUEs) verschaffen können. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, fiir Bau und Heimat 
vom 19. Juni 2018 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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1. Wie viele deutsche Athletinnen und Athleten sind gegenwärtig nach Kennt¬ 
nis der Bundesregierung in beiden Testpools (RTP bzw. NTP) registriert? 

Die Nationale Anti Doping Agentur (NADA) ist eine Stiftung des Privatrechts, 
welche die Registrierung der Athletinnen und Athleten in eigener Zuständigkeit 
vomimmt. Die Zahl variiert und ist abhängig von den Quartalsmeldungen der 
Sportverbände sowie sportlichen Großereignissen. Die beiden Testpools umfas¬ 
sen stets zwischen 1 500 und 2 500 Athletinnen und Athleten. 


2. Wie viele Athletinnen und Athleten sind gegenwärtig nach Kenntnis der 
Bundesregierung insgesamt in den Datenbanken der WADA registriert? 

3. Wie viele Personen und/oder Institutionen haben nach Kenntnis der Bundes¬ 
regierung Zugriff auf die Whereabouts, den biologischen Athletenpass und 
die Therapeutic Use Exemptions (TUEs)? 

Die Fragen 2 und 3 werden gemeinsam beantwortet. 

Die Welt Anti Doping Agentur (WADA) ist eine juristische Person des Privat¬ 
rechts mit Sitz in Kanada. Demzufolge hat die Bundesregierung keine Kenntnis 
darüber, wie viele Athletinnen und Athleten in den Datenbanken der WADA re¬ 
gistriert sind und wie viele Personen und/oder Institutionen Zugriff auf die Da¬ 
tenbank der WADA haben. 


4. Gibt es ein Berechtigungskonzept, das die Zugriffsrechte innerhalb von 
NADA, WADA und Dienstleistem, die Dopingkontrollen durchfuhren, de¬ 
finiert? 

Wie sieht ein solches Berechtigungskonzept aus? 

Die NADA hat eine Benutzerverwaltung mit Rechte- und Rollenkonzept. Auf den 
öffentlichen Bericht des externen Datenschutzbeauftragten der NADA wird inso¬ 
weit verwiesen (NADA-Jahresbericht 2017, Seite 18): www.nada.de/fileadmin/ 
user_upload/nada/Downloads/Jahresberichte/NADA Jahresbericht_201 7_DE.pdf. 

Der Bundesregiemng ist ein Berechtigungskonzept der WADA nicht bekannt. 
Ebenso hat die Bundesregierung keine Kenntnis über die konkrete Ausgestaltung 
der Zugriffsrechte innerhalb von NADA, WADA und Dienstleistem, die Doping- 
Kontrollen durchführen. Privatrechtliche Unternehmen setzen geeignete techni¬ 
sche und organisatorische Sicherheitsmaßnahmen zur Gewährleistung eines dem 
Risiko angemessenen Schutzniveaus in eigener Verantwortung um. Die daten¬ 
schutzrechtliche Aufsicht über die NADA liegt dabei bei der Landesbeauftragten 
für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). 


5. Wie lange ist die Speicherungshöchstdauer der Daten nach Kenntnis der 
Bundesregierung? 

Gibt es einen automatischen Löschmechanismus für die Daten? 

Wie lange werden die Daten im Durchschnitt gespeichert? 

Die NADA hat in der Anlage 1 ihres Standards für Datenschutz Speicherfristen 
festgelegt. Die Speicherfristen werden dem Grande nach in zwei Kategorien ein¬ 
geteilt. In Abhängigkeit von dem jeweiligen Regelungsbereich ist eine Speicher¬ 
frist von 18 Monaten oder zehn Jahren festgelegt, welche im Falle eines anhängi¬ 
gen Verstoßes gegen Anti-Doping Bestimmungen unter Berücksichtigung der 
Gesamtumstände des Einzelfalls verlängert werden können (www.nada.de/file- 
admin/user upload/nada/Recht/Regelwerke/2015 Standard fuer Datenschutz_ 
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Final.pdf). Eine entsprechende Regel ist in Annex A des internationalen WADA- 
Standards „Protection of Privac y and Personal Information“ (ISPPPI) festge¬ 
schrieben (www.wada-ama.org/sites/default/files/resources/files/ispppi-_fmal_- 
en.pdf). Die Bundesregierang hat keine Kenntnisse über einen automatischen 
Löschmechanismus und die durchschnittliche Speicherdauer. 


6. Ist auf die Daten von europäischen Athleten nach Auffassung der Bundesre¬ 
gierung die Datenschutz-Grundverordnung (DSGVO) seit dem 25. Mai 2018 
anwendbar, auch wenn sie außerhalb der EU verarbeitet werden, z. B. da die 
Verarbeitung im Zusammenhang mit der Beobachtung von Verhalten inner¬ 
halb der EU erfolgt (Artikel 3 Absatz 2 Buchstabe b DSGVO)? 

Wenn nein, welches Datenschutzrecht ist auf diese Daten anwendbar? 

Der räumliche Anwendungsbereich der Datenschutzgrandverordnung (DSGVO) 
richtet sich im Einzelnen nach Artikel 3 der DSGVO. Gemäß Artikel 3 Absatz 1 
DSGVO findet die DSGVO Anwendung auf die Verarbeitung personenbezoge¬ 
ner Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines 
Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig 
davon, ob die Verarbeitung in der EU stattfindet. Artikel 3 Absatz 2 DSGVO er¬ 
weitert den räumlichen Anwendungsbereich darüber hinaus (Marktortprinzip). 
Gemäß Artikel 3 Absatz 2 Buchstabe a findet die DSGVO Anwendung auf die 
Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der 
Union befinden, durch einen nicht in der Union niedergelassenen Verantwortli¬ 
chen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang 
damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen an¬ 
zubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung 
zu leisten ist. Gemäß Artikel 3 Absatz 2 Buchstabe b DSGVO findet die DSGVO 
Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Per¬ 
sonen, die sich in der Union befinden, durch einen nicht in der Union niederge¬ 
lassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung 
im Zusammenhang damit steht, das Verhalten betroffener Personen zu beobach¬ 
ten, soweit ihr Verhalten in der Union erfolgt. Erwägungsgrand 24 Satz 2 der 
DSGVO präzisiert Artikel 3 Absatz 2 Buchstabe b DSGVO, indem er bestimmt: 
„Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen 
Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nach¬ 
vollzogen werden [...].“ Eine weitere Erweiterung des räumlichen Anwendungs¬ 
bereichs sieht Artikel 3 Absatz 3 DSGVO vor. 

Erfolgt die Verarbeitung personenbezogener Daten von Athletinnen und Athleten 
außerhalb der EU, ist die DSGVO nur anwendbar, wenn einer der von Artikel 3 
DSGVO genannten Fälle vorliegt. Dies kann nicht pauschal beantwortet werden, 
sondern muss für jede einzelne Datenverarbeitung gesondert geprüft werden. Für 
die Verarbeitung personenbezogener Daten von Athletinnen und Athleten außer¬ 
halb der Europäischen Union bedeutet das Folgendes: Zunächst erfolgt die Da¬ 
tenverarbeitung der Nationalen Anti Doping Organisationen mit Sitz in den Mit¬ 
gliedstaaten der Europäischen Union auf Grundlage der DSGVO, so dass für die 
Datenübermittlung an Empfänger in Drittländern die Artikel 44 ff. DSGVO maß¬ 
geblich sind. Die WADA ist eine juristische Person des Privatrechts mit Sitz in 
Kanada und verarbeitet personenbezogene Daten nach kanadischem Daten¬ 
schutzrecht. 

Der räumliche Anwendungsbereich der DSGVO ist für die Verarbeitung perso¬ 
nenbezogener Daten durch die WADA regelmäßig nicht eröffnet: Weder verar¬ 
beitet die WADA personenbezogene Daten im Rahmen der Tätigkeit einer Nie¬ 
derlassung in der EU, noch beobachtet die WADA das Verhalten von Athletinnen 
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und Athleten im Sinne von Artikel 3 Absatz 2 Buchstabe b DSGVO in Verbin¬ 
dung mit Erwägungsgrund 24 Satz 2 DSGVO, da die WADA nicht die Intemet- 
aktivitäten der Athletinnen und Athleten nachvollzieht. 


7. Wie sehen nach Kenntnis der Bundesregierung die Auskunfts- und Lösch¬ 
rechte von Daten über deutsche Athletinnen und Athleten der in Kanada ge¬ 
hosteten Daten aus? 

Die Bundesregierung hat hierzu keine Erkenntnisse. Die Bundesregierung geht 
jedoch davon aus, dass die WADA diesbezüglich nach kanadischem Daten¬ 
schutzrecht und auf Basis des internationalen WADA-Standards „Protection of 
Privacy and Personal Information“ (ISPPPI) handelt (www.wada-ama.org/sites/ 
default/files/resources/files/ispppi-_fmal_-_en.pdf). 


8. Wie sind die Zuständigkeiten zwischen NADA und WADA nach Kenntnis 
der Bundesregierung hinsichtlich der Auskunftsrechte und Löschungsersu¬ 
chen von Athletinnen und Athleten? 

Die Bundesregierung geht davon aus, dass NADA und WADA jeweils in eigener 
Zuständigkeit handeln. 


9. Mit welchen Maßnahmen werden nach Kenntnis der Bundesregierung die 
bei der NADA und WADA gespeicherten Daten der Athleten vor unberech¬ 
tigtem Zugriff, Missbrauch und Manipulation geschützt? 

Der Bundesregierung ist bekannt, dass die NADA ein Datenschutz- und Datensi¬ 
cherheitsaudit durchgeführt hat und einen externen IT-Beauftragten für die Da¬ 
tensicherheit bestellt. Hinsichtlich der weiteren ergriffenen Maßnahmen wird auf 
den Bericht des externen Datenschutzbeauftragten der NADA verwiesen (NADA 
Jahresbericht 2017, Seite 18): www.nada.de/fileadmin/user_upload/nada/Downloads/ 
Jahresberichte/NADA_Jahresbericht_2017 DE.pdf. 

Hinsichtlich der von der WADA ergriffenen Maßnahmen wird auf die Pressemit¬ 
teilung vom 5. Oktober 2016 verwiesen (www.wada-ama.org/en/media/news/ 
2016-10/cyber-security-update-wadas-incident-response): Danach hat die WADA 
insbesondere nicht mehr genutzte Konten deaktiviert. Ebenso wurde die Rück¬ 
setzfunktion bei vergessenen Passwörtern deaktiviert. Die Überwachungs- und 
Protokollierungsfunktionen sowie das Monitoring des Netzwerks wurden erhöht. 
Ferner engagierte die WADA eine Sicherheits- und Beratungsfirma mit der Über¬ 
prüfung des Netzwerks einschließlich ADAMS. 

Weitere wesentliche Maßnahmen zur Erhöhung der Datensicherheit sind nach 
Kenntnis der Bundesregierung beispielsweise die Einführung persönlicher Si¬ 
cherheitsfragen bei der Anmeldung und die Einbindung eines als vertrauenswür¬ 
dig geltenden Gerätes. 


10. Wie schätzt die Bundesregierung die Sicherheit der Datenbanken von 
NADA und WADA nach dem Hackerangriff von 2016 ein? 

Die Einschätzung der Datensicherheit bei NADA und WADA obliegt nicht der 
Bundesregierung, sondern den zuständigen Aufsichtsbehörden. 



Deutscher Bundestag - 19. Wahlperiode 


-5- 


Drucksache 19/2911 


11. Gab es im Anschluss an den Hackerangriff von 2016 nach Kenntnis der Bun¬ 
desregierung Maßnahmen zur Verbesserung der IT-Sicherheit bei NADA 
und WADA? 

Auf die Antwort zu Frage 9 wird verwiesen. 


12. Gab es einen Infonnationsaustausch über die mutmaßlichen Urheber der Ha¬ 
ckerangriffe in Deutschland und Kanada oder eine Zusammenarbeit kanadi¬ 
scher und deutscher Behörden in der Ennittlung oder Abwehr dieser oder 
anderer Hackergruppen? 

Der Generalbundesanwalt beim Bundesgerichtshof führt im Zusammenhang mit 
der Angriffskampagne „SOFACY“/APT 28 ein Ermittlungsverfahren gegen Un¬ 
bekannt wegen des Verdachts geheimdienstlicher Agententätigkeit. Zur Ermitt¬ 
lung der technischen Infrastruktur der Angriffskampagne wurde ein Rechtshilfe¬ 
ersuchen an die kanadischen Behörden gerichtet. Ein Informationsaustausch über 
die Urheberschaft des elektronischen Angriffs auf die WADA mit kanadischen 
Behörden fand in diesem Rahmen nicht statt. 

Einen polizeilichen Informationsaustausch bzw. eine Zusammenarbeit zwischen 
dem Bundeskriminalamt und kanadischen Dienststellen gab es im Zusammen¬ 
hang mit Ermittlungsverfahren im Bereich Cyberspionage bisher nicht. 

Zwischen dem Bundesamt für Sicherheit in der Informationstechnik und dem ka¬ 
nadischen Cyber Incident Response Centre (CCIRC) gibt es zur Abwehr von Fla¬ 
ckergruppen einen technischen Austausch über Indikatoren zur Detektion und 
Abwehr von Schadcode-Angriffen. Ein Informationsaustausch über die Urheber¬ 
schaft des elektronischen Angriffs auf die WADA mit kanadischen Behörden 
fand dabei nicht statt. 

Die Bundesregierung ist nach sorgfältiger Abwägung zwischen dem verfassungs¬ 
rechtlich geschützten parlamentarischen Frage- und Informationsrecht einerseits 
und dem ebenfalls Verfassungsrang zukommenden Staatswohl zu der Auffassung 
gelangt, dass eine Beantwortung der Frage 12 in Teilen nicht offen erfolgen kann. 
Die jeweiligen Teilantworten werden mit folgender Begründung unterschiedlich 
eingestuft: 

a) In der Antwort zu der genannten Frage sind Auskünfte enthalten, die unter 
dem Aspekt des Schutzes der nachrichtendienstlichen Zusammenarbeit mit 
ausländischen Partnern besonders schutzbedürftig sind. Eine öffentliche Be¬ 
kanntgabe von Informationen zu technischen Fähigkeiten von ausländischen 
Partnerdiensten und damit einhergehend die Kenntnisnahme durch Unbe¬ 
fugte hätte erhebliche nachteilige Auswirkungen auf die vertrauensvolle Zu¬ 
sammenarbeit. 

Würden in der Konsequenz eines Vertrauensverlustes Informationen von 
ausländischen Stellen entfallen oder wesentlich zurückgehen, entstünden sig¬ 
nifikante Informationslücken mit negativen Folgewirkungen für die Genau¬ 
igkeit der Abbildung der Sicherheitslage in der Bundesrepublik Deutschland 
sowie im Hinblick auf den Schutz deutscher Interessen im Ausland. Die künf¬ 
tige Aufgabenerfüllung der Nachrichtendienste des Bundes würde stark be¬ 
einträchtigt. Insofern könnte die Offenlegung der entsprechenden Informati¬ 
onen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren 
Interessen schweren Schaden zufügen; das Bekanntwerden der geheimhal¬ 
tungsbedürftigen Informationen würde mithin das Wohl des Bundes (Staats¬ 
wohl) gefährden. Die notwendige Abwägung zwischen den Geheimhaltungs- 
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interessen aufgrund des Staatswohls einerseits und dem grundsätzlich umfas¬ 
senden parlamentarischen Fragerecht andererseits ergibt daher, dass vorlie¬ 
gend eine Antwort der Bundesregierung, die veröffentlicht würde, nicht in 
Betracht kommt. Jedoch ist eine Übermittlung der Informationen an die Ge¬ 
heimschutzstelle des Deutschen Bundestages möglich. Die Antwort zu der 
genannten Frage wird als Verschlusssache gemäß der Allgemeinen Verwal¬ 
tungsvorschrift des Bundesministeriums des Innern zum materiellen und or¬ 
ganisatorischen Schutz von Verschlusssachen (VS-Anweisung — VSA) mit 
dem Geheimhaltungsgrad „GEFIEIM“ eingestuft. 1 

b) Arbeitsmethoden und Vorgehensweisen der Nachrichtendienste des Bundes 
sind im Flinblick auf die künftige Erfüllung ihres jeweiligen gesetzlichen 
Auftrags besonders schutzwürdig. Ebenso schutzbedürftig sind Einzelheiten 
zur nachrichtendienstlichen Erkenntnislage sowie zur nachrichtendienstli¬ 
chen Zusammenarbeit mit ausländischen Partnern. Eine Veröffentlichung 
solcher Einzelheiten würde zu einer wesentlichen Schwächung der den Nach¬ 
richtendiensten des Bundes zur Verfügung stehenden Möglichkeiten der In¬ 
formationsgewinnung führen. Dies könnte für die Interessen der Bundesre¬ 
publik Deutschland nachteilig sein. Daher sind die entsprechenden Informa¬ 
tionen gemäß § 3 Nummer 4 der VSA mit dem VS-Grad „VS - Nur für den 
Dienstgebrauch“ eingestuft. 2 


13. Hat die Bundesregierung Erkenntnisse, ob durch den Hackerangriff Daten 
deutscher Athletinnen und Athleten gestohlen oder kopiert wurden? 

Im Zusammenhang mit dem Flackerangriff auf die WADA wurden Daten von 
deutschen Athletinnen und Athleten veröffentlicht. 

Auf die Pressemitteilung der NADA vom 15. September 2016 wird verwiesen 
(www.nada.de/fileadmin/user upload/nada/Presse/17-PM 160915 NADA_reagiert 
auf aktuelle Cyber-Attacke auf WADA und ADAMS.pdf). Der Bundesregie¬ 
rung liegen keine Erkenntnisse vor, ob es sich dabei um gestohlene oder kopierte 
Daten handelt. 


14. Hat die Bundesregierung Erkenntnisse, ob durch den Hackerangriff Daten 
von internationalen und/oder deutschen Athletinnen und Athleten manipu¬ 
liert wurden? 

Im Zusammenhang mit dem Hackerangriff auf die WADA wurden auch Daten 
von internationalen Athletinnen und Athleten veröffentlicht. Auf die Pressemit¬ 
teilung der WADA vom 23. September 2016 wird verwiesen (www.wada-ama. 
org/en/media/news/2016-09/cyber-hack-update-data-leak-conceming-41 -athletes- 
from-13-countries-and-17). Der Bundesregierung liegen keine Erkenntnisse über 
eine Manipulation der Daten von internationalen und/oder deutschen Athletinnen 
und Athleten vor. 


1 Das Bundesministerium des Innern, für Bau und Heimat hat einen Teil der Antwort zu Frage 12 als „VS - Geheim“ eingestuft. 
Die Antwort ist in der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann dort nach Maßgabe der Geheimschutzordnung 
eingesehen werden. 

2 Das Bundesministerium des Innern, für Bau und Heimat hat einen Teil der Antwort zu Frage 12 als „VS - Nur für den Dienstgebrauch" 
eingestuft. Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen 
werden. 
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15. Hält die Bundesregierung es für zulässig, die Mitwirkung der Sportler an 
ADAMS auszusetzen, solange die Datensicherheit in Kanada auch nach dem 
Hack nicht belegt ist? 

Die Mitwirkung der Athletinnen und Athleten an ADAMS ist verpflichtend. Der 
Bundesregierung sind derzeit keine Gründe bekannt, die ein Aussetzen rechtfer¬ 
tigen könnten. 


16. Wie beurteilt die Bundesregierung das Datenschutzniveau in Kanada im 
Vergleich zu Deutschland nach dem Inkrafttreten der DSGVO? 

Die WADA wurde im Jahr 2015 datenschutzrechtlich in den Anwendungsbereich 
des kanadischen „Personal Information Protection and Electronic Documents 
Act“ (PIPEDA) einbezogen, für den eine Angemessenheitsentscheidung der EU- 
Kommission vorliegt (Entscheidung 2002/2/EG der Kommission vom 20. De¬ 
zember 2001 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und 
des Rates über die Angemessenheit des Datenschutzes, den das kanadische Per¬ 
sonal Information Protection and Electronic Documents Act bietet, ABI. 2002, 
Nummer L 2, S. 13 f., geändert durch den Durchführungsbeschluss (EU) 
2016/2295 der Kommission vom 16. Dezember 2016, ABI. 2016, Num¬ 
mer L 344, S. 83 ff.). Die Entscheidung der EU-Kommission bleibt nach Arti¬ 
kel 45 Absatz 9 DSGVO so lange in Kraft, bis sie durch einen Beschluss der EU- 
Kommission geändert, ersetzt oder aufgehoben wird. Gemäß Artikel 45 Absatz 4 
DSGVO überwacht die Kommission fortlaufend die Entwicklungen in den Dritt¬ 
ländern, die die Wirkweise einer Angemessenheitsentscheidung beeinträchtigen 
können. Kanada ist derzeit als ein Land anzusehen, das ein angemessenes Schutz¬ 
niveau bei der Übermittlung personenbezogener Daten aus der EU an Empfänger 
garantiert, die - wie die WADA - dem kanadischen PIPEDA unterliegen. Die 
Bundesregierung hat keine Erkenntnisse darüber, dass die Einschätzung nicht 
mehr zutrifft. 


17. Aufgrund welcher Rechtsgrundlage werden nach Kenntnis der Bundesregie¬ 
rung Daten von und an die WADA und insbesondere in ein Drittland über¬ 
mittelt? 

Wie wird die Übertragung technisch umgesetzt? 

Im Anwendungsbereich der DSGVO benötigen Verantwortliche und Auf¬ 
tragsverarbeiter für jede Verarbeitung personenbezogener Daten (einschließlich 
der Übermittlung) eine Rechtsgrundlage nach Artikel 6 DSGVO. Auf welche Va¬ 
riante des Artikels 6 DSGVO die Verarbeitung (einschließlich der Übermittlung) 
konkret gestützt werden kann, muss für jeden Verarbeitungsvorgang einzeln be¬ 
urteilt werden. Soweit besondere Kategorien personenbezogener Daten verarbei¬ 
tet (also auch übermittelt) werden, sind zusätzlich die Anfordemngen von Arti¬ 
kel 9 DSGVO zu beachten. Sollen personenbezogene Daten im Anwendungsbe¬ 
reich der DSGVO von einem Verantwortlichen oder Auftragsverarbeiter an einen 
Empfänger in einem Drittland — also auch an die WADA mit Sitz in Kanada - 
übermittelt werden, hat der Verantwortliche oder der Auftragsverarbeiter zusätz¬ 
lich die Anforderungen von Kapitel V der DSGVO (Artikel 44 ff. DSGVO) zu 
beachten. 

Die WADA wurde im Jahr 2015 datenschutzrechtlich in den Anwendungsbereich 
des kanadischen PIPEDA einbezogen; daher stehen Übermittlungen personenbe¬ 
zogener Daten durch Verantwortliche oder Auftragsverarbeiter aus der EU an die 
WADA aufgrund der gültigen Angemessenheitsentscheidung der EU-Kommis¬ 
sion (Entscheidung 2002/2/EG der Kommission vom 20. Dezember 2001, siehe 
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dazu ausführlicher die Antwort zu Frage 16) im Einklang mit den Anforderungen 
von Kapitel V der DSGVO. Die DSGVO verlangt, dass die Sicherheit der Verar¬ 
beitung gemäß Artikel 32 DSGVO gewährleistet wird — dies betrifft auch die 
technische Umsetzung der Übermittlung personenbezogener Daten. 

Die Bundesregierung hat keine Kenntnisse darüber, auf welcher Rechtsgrundlage 
die WADA personenbezogene Daten übermittelt oder anderweitig verarbeitet. 
Die Bundesregierung hat auch keine Kenntnisse darüber, auf welche technische 
Art und Weise die WADA personenbezogene Daten überträgt. Da die Verarbei¬ 
tung personenbezogener Daten durch die WADA jedoch von der Wirkung der 
Angemessenheitsentscheidung der EU-Kommission umfasst ist (siehe die obigen 
Ausführungen), geht die Bundesregierung davon aus, dass auch bei der techni¬ 
schen Übertragung personenbezogener Daten durch die WADA alle erforderli¬ 
chen Schutzvorkehrungen getroffen werden, damit ein angemessenes Daten¬ 
schutzniveau gewährleistet ist. 


18. Hält die Bundesregierung eine Angabe über den Aufenthaltsort der Sportler 
drei Monate im Voraus für erforderlich zur Durchführung des Dopingkon- 
trollsystems der NADA? 

Können effektive Dopingkontrollen auch geplant werden, wenn der Melde¬ 
zeitraum für die Whereabouts unter drei, zwei oder einem Monat liegt? 

Die Bundesregiemng kann die Frage nicht beantworten, da die Planung und 
Durchführung von Dopingkontrollen in der Zuständigkeit der Nationalen Anti 
Doping Organisationen liegen. Darüber hinaus weist die Bundesregiemng darauf 
hin, dass die Fristen weltweit einheitlich in Annex I des internationalen WADA- 
Standards „Testing and Investigations“ (ISTI) geregelt sind (www.wada-ama.org/ 
sites/default/files/resources/files/2016-09-30_-_i s t i_final_j anuary_2 01 7.pdf). 


19. Hält die Bundesregierung die durch das Meldesystem bedingten Eingriffe in 
die Persönlichkeitsrechte und die Berufsfreiheit der Athletinnen und Athle¬ 
ten für gerechtfertigt? 

Die Bundesregiemng hält die beschriebenen Maßnahmen der Datenverarbeitung 
für rechtmäßig. Mit den §§ 9 und 10 des Gesetzes gegen Doping im Sport (Anti- 
Doping-Gesetz) ist in Deutschland im Jahr 2015 eine Rechtsgrandlage für die 
Verarbeitung von personenbezogenen Daten von Athletinnen und Athleten ge¬ 
schaffen worden. Der Staat hat vor dem Hintergmnd der umfangreichen öffentli¬ 
chen Sportfördemng ein erhebliches Interesse daran, dass diese Mittel in einen 
dopingfreien Sport fließen. 


20. Wie bewertet die Bundesregierung die Vereinbarkeit der Erhebung, Verar¬ 
beitung und Nutzung besonderer Arten persönlicher Daten der Athleten mit 
der DSGVO, insbesondere Gesundheitsdaten? 

Sieht die Bundesregiemng die Erhebung, Speicherung und Weitergabe in 
den Datenbanken der WADA und NADA als vereinbar an mit der DSGVO? 

Im Anwendungsbereich der DSGVO ist die Verarbeitung besonderer Kategorien 
personenbezogener Daten von Athletinnen und Athleten (einschließlich der Ver¬ 
arbeitung von Gesundheitsdaten) nach Artikel 6 Absatz 1 Satz 1 Buchstabe c, 
Absatz 2 und 3 DSGVO in Verbindung mit Artikel 9 Absatz 2 Buchstabe g 
DSGVO erlaubt, wenn die Verarbeitung aus Gründen eines erheblichen öffentli¬ 
chen Interesses erforderlich ist und auf der Gmndlage des Rechts eines Mitglied¬ 
staats erfolgt, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den 
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Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifi¬ 
sche Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen 
Personen vorsieht. Die danach erforderliche Rechtsgrundlage liegt im Bundes¬ 
recht mit den §§ 9 und 10 des Anti-Doping-Gesetzes vor. Erwägungsgrund 112 
der DSGVO hebt hervor, dass die Verringerung und/oder Beseitigung des Do¬ 
pings einen wichtigen Grund des öffentlichen Interesses darstellt. Im Übrigen ob¬ 
liegt die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften den 
zuständigen unabhängigen Datenschutzaufsichtsbehörden. Hinsichtlich der Ver¬ 
arbeitung personenbezogener Daten durch die WADA verweist die Bundesregie¬ 
rung auf die Antwort zu Frage 17. 


21. Sieht die Bundesregierung Handlungsbedarf, das Anti-Doping-System, die 
ADAMS-Datenbank und die Whereabouts zugunsten der Persönlichkeits¬ 
rechte der Athletinnen und Athleten nachzubessem? 

22. Hat die Bundesregierung Kenntnis von Plänen der NADA und der WADA, 
Änderungen an der ADAMS-Datenbank und den Whereabouts vorzuneh¬ 
men, die zu mehr Datensicherheit, Datenschutz und weniger Eingriffen in 
die Privatsphäre der Athletinnen und Athleten fuhren? 

Sieht die Bundesregierung hier Handlungsbedarf? 

Die Fragen 21 und 22 werden gemeinsam beatwortet. 

Der Bundesregierung ist bekannt, dass die WADA derzeit das ADAMS-System 
überarbeitet und schrittweise in einer fortentwickelten Fassung zur Anwendung 
bringen will. Dabei soll beispielsweise ab Mitte 2018 eine so genannte Zwei-Fak- 
tor-Benutzerauthentifizierung eingeführt werden. Weitere konkrete Maßnahmen 
zur Datensicherheit und zum Datenschutz sind der Bundesregierung derzeit nicht 
bekannt. Die Bundesregierung sieht gegenwärtig keinen weitergehenden Hand¬ 
lungsbedarf. Aus rechtlicher Sicht ist es nicht geboten, das ADAMS-System und 
die Whereabouts im Kem grundlegend nachzubessem oder unter Einbeziehung 
von Ortungstechnologien neu zu konzipieren. Der Europäische Gerichtshof für 
Menschenrechte (EGMR) hat am 18. Januar 2018 entschieden, dass die Ver¬ 
pflichtung zur Meldung der Aufenthaltsdaten (Whereabouts) im Rahmen des 
ADAMS-Systems mit dem Menschenrecht auf Achtung des Privat- und Famili¬ 
enlebens (Artikel 8 EMRK) vereinbar ist (https://d3mjm6zw6cr45s.cloudfront. 
net/2018/01/Press-release-issued-by-European-Court-of-Human-Rights-on-Thursday- 
18th-January.pdf). 

Auch hat die Ethikkommission der WADA sich im März 2018 unter Bemfung 
auf den Datenschutz und die Datensicherheit derzeit gegen den verpflichtenden 
als auch den freiwilligen Einsatz von Ortungstechnologien im Rahmen des 
ADAMS-Systems ausgesprochen (www.ncbi.nlm.nih.gov/pmc/articles/PMC 
5867440/). 

23. Sind der Bundesregierung Alternativen zum bestehenden Anti-Doping-Sys¬ 
tem bekannt? 

Worin sieht die Bundesregierung die Vor- und Nachteile dieser Alternati¬ 
ven? 

Im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten 
Projektes PARADISE wurden Techniken entwickelt, um den Schutz der Pri¬ 
vatsphäre von Spitzensportlern im Dopingkontrollprozess zu verbessern. Mit 
Hilfe eines tragbaren Gerätes kann der Aufenthaltsort von Athleten in bestimmten 
Grenzen und nur zum Zweck einer Kontrolle ermittelt werden. Diese technische 
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Lösung stellt potentiell eine Alternative zu dem gegenwärtig verwendeten Mel¬ 
desystem ADAMS dar (https://privacy-paradise.de/). Vor- und Nachteile dieser 
Entwicklung sowie deren Nutzung müssen nun im Anschluss von den Anti-Do¬ 
ping Agenturen beurteilt werden. 


24. Welche Maßnahmen oder Initiativen plant oder begleitet die Bundesregie¬ 
rung, um den Datenschutz und die Datensicherheit im bestehenden Anti- 
Doping-System zu verbessern? 

Derzeit hat die Bundesregierung keine konkreten Planungen. 


25. Wie beurteilt die Bundesregierung die Effizienz des bestehenden WADA- 
Systems angesichts des russischen Staatsdopings? 

Der Dopingskandal in Russland hat gezeigt, dass die Instrumente der weltweiten 
Dopingbekämpfung weiterentwickelt werden mussten. Die Bundesregierung be¬ 
grüßt es daher, dass die WADA auf die McLaren Berichte über das staatsgeleitete 
Doping in Russland reagiert und Maßnahmen zur Verbesserung der weltweiten 
Anti-Doping Arbeit auf den Weg gebracht hat. Hierzu zählen, die Einrichtung 
einer neuen Ermittlungsabteilung bei der WADA, die Einführung eines Hinweis¬ 
gebersystems („Speak up“), die Einrichtung eines unabhängiges Komitees zur 
Überwachung der Einhaltung der Anti-Dopingvorschriften („Compliance Review 
Committee“) sowie die Einführung eines Überwachungs- und Sanktionsverfah- 
rens („International Standard for Code Compliance by Signatories“). 


26. Auf welcher Rechtsgrundlage beruht die Veröffentlichung von Dopingver¬ 
stößen? 

Sieht die Bundesregierung den hierdurch entstehenden Eingriff in das infor¬ 
mationeile Selbstbestimmungsrecht der Sportler als gerechtfertigt an? 

Der NADA verarbeitet Daten von Athletinnen und Athleten auf Grundlage der 
§§ 9 und 10 Anti-Doping-Gesetz und auf der Basis von Einwilligungen der Ath¬ 
letinnen und Athleten. Die NADA prüft als verantwortliche datenverarbeitende 
Stelle, auf welche Variante von Artikel 6 DSGVO die Veröffentlichung von Do¬ 
pingverstößen gestützt werden kann. Die Bunderegierung kann nicht pauschal be¬ 
urteilen, ob und inwieweit der Eingriff in das informationelle Selbstbestimmungs¬ 
recht durch die Veröffentlichung von Dopingverstößen gerechtfertigt ist. Die 
Veröffentlichung ist von der NADA in jedem Einzelfall zu prüfen und abzuwä¬ 
gen. Im Übrigen obliegt die Kontrolle der Einhaltung der datenschutzrechtlichen 
Vorschriften der zuständigen unabhängigen LDI NRW. 

Artikel 14.3.2 in Verbindung mit Artikel 10.13 des Welt Anti-Doping Codes 
(WADC) und des Nationalen Anti-Doping Codes (NADC) sehen die vollständige 
Veröffentlichung des Vor- und Nachnamens vor. Die Bundesregierung begrüßt 
es, dass die NADA hierzu einen restriktiven Standpunkt vertritt und aus Gründen 
der datenschutzrechtlichen Verhältnismäßigkeit lediglich den Vornamen und den 
Anfangsbuchstaben des Familiennamens der sanktionierten Athletinnen und Ath¬ 
leten auf der NADA-Website veröffentlicht. 
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